28.11.2019

Datenschutz – umfassender Malware-Schutz gehört dazu

Schadprogramme, auch Malware genannt, bedrohen gleich mehrfach die Sicherheit von personenbezogenen Daten. Sie spionieren Daten aus, sie zerstören Daten, manipulieren sie und lassen Systeme ausfallen, die die Daten verarbeiten sollen. Um das zu verhindern, gilt es, mehr als eine Anti-Malware-Lösung zu verwenden.

Datenschutz Malware

Datenschutz-Maßnahmen gegen Malware

Datenpannen durch Hacking-Angriffe und Malware liegen auf Platz 2 der am häufigsten gemeldeten Datenschutz-Verletzungen.

Das berichtete der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg.

Ein Datenschutzkonzept zu den Maßnahmen gegen Malware-Attacken darf in keinem Unternehmen. Dieses Konzept muss allerdings mehr umfassen, als Anti-Viren-Software auf allen Endgeräten zu installieren, so wichtig das auch ist.

Der Malware-Schutz muss Maßnahmen vorsehen, wie betroffene Mitarbeiterinnen und Mitarbeiter im Fall einer Malware-Attacke reagieren.

Folgende Maßnahmen gehören deshalb zur Reaktion im Bereich Malware-Schutz, sobald es zu einer Attacke kommt:

  • IT-Sicherheitsverantwortlichen und Datenschutzbeauftragte/n informieren
  • Verantwortliche Stelle: Meldepflicht prüfen (Datenschutz-Verletzung, an die zuständige Aufsichtsbehörde nach Artikel 33 Datenschutz-Grundverordnung (DSGVO), gegebenenfalls auch an betroffene Personen nach Artikel 34 DSGVO)
  • In Rücksprache mit der IT-Sicherheit:
    • betroffenes Endgerät vom restlichen Netzwerk trennen
    • alle Verzeichnisse auf dem Endgerät und alle angeschlossenen Speichermedien mit einem aktuellen Malware-Scanner durchsuchen
    • womöglich ausgespähte Passwörter ändern
    • mögliche Änderungen an Daten und verdächtige Netzwerk-Aktivitäten prüfen, eventuell über Experten (Log-Dateien auswerten),
    • kompromittierte Nutzerkonten sperren

Weitere Maßnahmen, auch zur Prävention, finden Sie in der Checkliste zum Malware-Schutz (als Download im Word-Format mit Checkboxen). Dazu gehören etwa:

  • Awareness-Schulung für Mitarbeiterinnen und Mitarbeiter
  • Rollen-/Berechtigungs-Systeme
  • Least-Privilege-Prinzip
  • Patch-Management im kompletten Unternehmen
  • Backups durchführen
  • Anti-Viren-Schutz mit Signatur und verhaltensbasierter Erkennung verwenden
  • aktuelles, aktiviertes Anti-Viren-Programm auf jedem Endgerät, inkl. mobile Endgeräte
  • Anti-Viren-Scanner für das Internet-Gateway des Unternehmens
  • alternatives Anti-Viren-Programm für Verdachtsfälle („zweite Meinung“)
  • Datenschutzerklärung bei Anti-Viren-Schutz vorhanden, die den Datenschutz-Prinzipien (wie Zweckbindung und Datenminimierung) entspricht
  • starke Zugangskontrolle (Zwei-Faktor-Authentifizierung)
  • Data Loss Prevention (DLP): nach ungewolltem Datenabfluss suchen
  • Netzwerk-Aktivitäten überwachen, Netzwerk-Firewalls
  • Intrusion Detection and Prevention System (IDS / IPS)
  • Datenübertragung und Datenspeicherung verschlüsseln
  • Angriffe simulieren / Penetrationstests durchführen
  • Schutzlösung gegen APT (Advanced Persistent Threats)

Hintergrund: Malware als Datenrisiko

Im Sommer 2019 wurde eine Reihe von Einrichtungen der DRK Trägergesellschaft Südwest Opfer eines Schadsoftware-Angriffs.

Die Schadsoftware verschlüsselte Daten im IT-Verbund der Trägergesellschaft – und das beeinträchtigte den Krankenhausbetrieb weitreichend.

Entsprechend der Verpflichtung aus Artikel 33 DSGVO hatte die Trägergesellschaft die Verletzung des Schutzes personenbezogener Daten dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz als zuständiger Aufsichtsbehörde angezeigt.

„IT-Strukturen und Patientendaten müssen über eine ausreichende Widerstandsfähigkeit gegenüber Cyber-Attacken und einen angemessenen Schutz verfügen. Andernfalls drohen Schäden für die Gesundheit und den Datenschutz von Patientinnen und Patienten und wirtschaftliche Schäden“, so der Landesbeauftragte Prof. Dr. Kugelmann.

Diese Attacke war kein Einzelfall. Malware ist die häufigste Art von Cyber-Angriffen in Deutschland, gefolgt von personenbezogenen Attacken durch Phishing und Social Engineering. Das zeigt die 9. „Cost of Cybercrime“-Studie, die die Unternehmensberatung Accenture erstellt hat.

  • Auf Personen ausgerichtete Angriffsarten wie gezielte Ransomware (+4%) und schädliche Unternehmens-Insider (+3%) weisen die höchsten Zuwachsraten auf.
  • Außerdem nehmen Attacken durch Malware (+3%) und Denial-of-Service (+3%) zu.
  • Am stärksten stiegen jedoch die Kosten für Ransomware-Attacken. Hier haben sich die Kosten mit einem Zuwachs von 92% auf 74.400 US-Dollar nahezu verdoppelt. Denn es dauert mittlerweile deutlich länger, diese Angriffsart zu bewältigen (+26% in 2018).

Malware hat viele Gesichter

In seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2019 kommt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Ergebnis, dass Ransomware-Angriffe zunehmen.

Sie führen neben zahlreichen Produktionsausfällen in der Wirtschaft zu teils erheblichen Beeinträchtigungen in Einrichtungen des Gemeinwesens, so das BSI.

So waren mehrere Krankenhäuser sowie kommunale Einrichtungen wie etwa Stadtverwaltungen in Deutschland von solchen Angriffen betroffen.

Doch Ransomware, also Erpresser-Schadsoftware, die Daten gegen den Willen der Opfer verschlüsselt und Lösegeld erpressen will, ist nur ein Beispiel von vielen für Malware. Im Berichtszeitraum hat das BSI rund 114 Millionen neue Schadprogramm-Varianten registriert.

All diese Zahlen sprechen dafür, sich intensiv um den Schutz vor Malware zu kümmern.

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)